XtremIO: LDAP-configuratiefout bij gebruik van beveiligde kanaal-LDAP's

摘要: Verificatiefouten kunnen optreden wanneer LDAP-verificatie, met behulp van LDAPS, is geconfigureerd voor externe gebruikers.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Achtergrond

In sommige gevallen kunnen er verificatiefouten optreden wanneer de klant LDAP-authenticatie configureert voor externe gebruikers.

De volgende XtremIO-omgevingen kunnen door dit probleem worden beïnvloed:

  • Dell EMC software: XtremIO 6.3.2 en hoger.


Probleem

Wanneer de klant LDAP-verificatie configureert voor externe gebruikers, kunnen er verificatiefouten optreden onder alle volgende omstandigheden:

  1. De LDAP-server dient via een beveiligd kanaal LDAPS in plaats van LDAP
  2. Er bestaat een configuratie-item TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf
  3. De bestaande certificering aan de serverzijde wordt gegenereerd via versleuteling ECDHE.

Gezien de bovenstaande omstandigheden retourneert de serverzijde een fout zoals,

[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never  ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
 

原因

Softwareprobleem als gevolg van incompatibiliteit van TLS_CIPHER_SUITE ALL:! ECDHE met certificering aan serverzijde die wordt gegenereerd via Cipher ECDHE

解决方案

Om te bepalen of LDAP wordt gebruikt, voert u de xmcli-opdracht show-user-accounts uit. De eigenschap External-Account is True wanneer LDAP wordt gebruikt: 
 (tech)> show-user-accounts
Name             Index Role          External-Account Inactivity-Timeout
tech              1    technician      False            10
sara              2    admin           True             10


Om deze fout te voorkomen, voert u een van de volgende opties uit:
  • Genereer het certificeringsbestand opnieuw samen met de code buiten ECDHE.  Gebruik openssl tool om een nieuw certificaat te genereren zonder gebruik te maken van ECDHE cipher suite en voer vervolgens de opdracht modify-ldap-config uit in xmcli console, bijvoorbeeld:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
of
  • Reageer op het configuratie-item TLS_CIPHER_SUITE ALLE:! ECDHE in /etc/openldap/ldap.conf.

Als het XMS wordt geüpgraded naar XMS 6.3.2 of hoger, dient dit na de upgrade te worden uitgevoerd.

受影响的产品

XtremIO, XtremIO Family, XtremIO X1, XtremIO X2
文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本:  11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。